En una sala de exposiciones de Helsinki, un hacker que se hace llamar 'The Mask Guy' se sienta frente a su computadora junto a un grupo de expertos informáticos que empiezan a piratear febrilmente un sistema de control de pruebas de KONE. Su objetivo es muy claro: vencer las defensas de KONE y poner el sistema a sus pies.
Estos talentosos y a menudo anónimos genios de la informática proceden de diferentes entornos, pero comparten una pasión común: encontrar formas de entrar en los dispositivos conectados, los servicios y los sistemas integrados, sin importar lo seguros que sus administradores puedan creer que son.
El plan de ciberseguridad no es un destino, sino un viaje continuo.
Pero lo que diferencia a esta multitud es que en la comunidad cibernética se les conoce como hackers 'white hat' o hackers éticos, es decir, profesionales de la informática motivados por la ética. Su motivación, ya sea por placer, beneficio o prestigio, es buscar puntos débiles en los sistemas conectados y colaborar después con sus propietarios para ayudar a hacerlos más seguros y mantener alejados a los atacantes, los hackers 'black hat'.
Por este motivo, empresas, profesionales de la ciberseguridad y hackers éticos se han reunido en el evento anual Disobey Nordic Security, celebrado en Helsinki, para compartir conocimientos y participar en desafíos. En la competencia "Capture the Flag (CTF)", copatrocinada por KONE, los equipos de hackers 'white hat' competirán para encontrar una debilidad en un sistema de monitoreo de pruebas de KONE y luego explotarla, permitiendo a la compañía obtener información cada vez más profunda y mantenerse un paso adelante de los atacantes.
Para los hackers, eventos como Disobey no son sólo una oportunidad de "sensibilizar sobre la seguridad", dice 'The Mask Guy', sino también de socializar y trabajar junto a otras "personas éticamente motivadas, positivas y colaboradoras".
¿Por qué es tan importante el hacking ético?
El hacking ético es una necesidad en el mundo actual, ya que los ciberataques dirigidos por hackers hostiles o 'black hat' han aumentado enormemente.
Una investigación de Check Point Software Technologies nos dice que entre 2020 y 2021, los ciberataques a corporaciones aumentaron un 50%. Es más, el coste de los ciberataques es cada vez mayor, para las empresas y, en última instancia, para sus clientes, ya que el coste medio de una violación de datos se estima en 4,35 millones de dólares en 2022.
A medida que los productos y servicios están cada vez más conectados, los clientes necesitan más que nunca la tranquilidad de saber que las empresas están tomando todas las medidas posibles para protegerse a sí mismas y a sus clientes contra entidades hostiles.
"Los hackers no éticos disponen de una serie de factores para atacar a cualquier empresa, sobre todo a las que no invierten y mejoran continuamente sus prácticas de seguridad", explica Laura Kankaala, Directora de Inteligencia de Amenazas de la empresa finlandesa F-Secure, un referente en el sector de la ciberseguridad y consultora periódica de KONE
"Llegarán a través de una aplicación web vulnerable, un servicio en la nube mal configurado, una identidad mal protegida, personal sin formación que es víctima de ataques de phishing por correo electrónico o en casos en los que la empresa no ha aplicado configuraciones de seguridad básicas como la autenticación de múltiples factores en todos los servicios de TI de una empresa."
Kankaala, una experimentada hacker ética por derecho propio, compara el éxito de la ciberseguridad con un rompecabezas compuesto por muchas piezas. Tradicionalmente, estas piezas incluyen a los propios profesionales de TI de una empresa, consultores de seguridad de primera categoría, políticas internas probadas y formación. Pero más recientemente, el contacto con hackers amistosos que jueguen en el mismo equipo se ha convertido en una herramienta muy valiosa.
"Incluso entonces es esencial entender que mantener a raya a los hackers no éticos y delictivos es el resultado de un plan integral de ciberseguridad, y aun así el plan en sí no es un destino, sino un camino continuo", añade Kankaala.
Construir la excelencia holística en ciberseguridad
De vuelta al desafío Disobey CTF, el hacker ético 'The Mask Guy', que utiliza un seudónimo debido a su trabajo diario como experto en Internet de las Cosas en una gran empresa de ciberseguridad, conspira con su equipo para emplear todos y cada uno de los trucos de su libro para hackear el sistema de demostración de KONE y hacerse con su control en primer lugar con el fin de ganar la competencia.
Antti Salminen, experto en seguridad de aplicaciones de KONE, vigila a estos hackers y sonríe al ver la inteligente codificación y la impresionante resolución de problemas que se está llevando a cabo.
"KONE siempre se ha tomado muy en serio la ciberseguridad y la amenaza que suponen los hackers", afirma Salminen. "Queremos librar esta batalla en nuestros términos, y por eso reconocimos que una de las mejores formas de hacerlo era tender un puente entre KONE y la comunidad 'white hat' para establecer una colaboración más estrecha."
"El evento Disobey ofrece un lugar perfecto para tender esos vínculos".
Junto a los grandes eventos, KONE también ofrece un programa de incentivos de remuneración económica, llamado "bug bounty", a los hackers éticos invitados para que prueben sus servicios y productos y localicen debilidades no descubiertas.
KONE siempre se ha tomado muy en serio la ciberseguridad y la amenaza que suponen los hackers.
En los últimos años, estos programas de recompensas por fallos no sólo se han convertido en algo habitual entre las organizaciones de los sectores público y privado, sino que ahora se consideran una de las mejores prácticas emergentes para garantizar una ciberseguridad sólida. De hecho, ahora se ofrecen formación y certificaciones formalizadas, como el programa EC-Council’s Certified Ethical Hacker así como un programa certificado de tres cursos de la Universidad de Washington en Estados Unidos.
Pero Salminen deja claro que no hay nada mejor que tener un equipo propio de especialistas cibernéticos dentro de la empresa.
"En el pasado, una empresa que mueve personas como KONE no habría sido el primer lugar al que acudiría un especialista en ciberseguridad en busca de una carrera profesional. Pero eso está cambiando. Estamos en línea con nuestros productos y servicios más que nunca y la ciberseguridad es una prioridad absoluta, por lo que nos esforzamos por atraer a los mejores talentos cibernéticos que se pueden encontrar en la industria."
El compromiso de KONE con la ciberseguridad fue reconocido en 2023 cuando se convirtió en el primero en la industria en obtener la certificación de ciberseguridad IEC 62443 para sus elevadores de clase DX, y la certificación ISO 27001 para sus servicios digitales, incluyendo KONE 24/7 Connected Services.
Una victoria para los clientes de KONE ... y para los 'white hats'
Así pues, la pregunta sigue siendo... ¿tuvieron éxito 'The Mask Guy' y su equipo de 'white hats', o se resistió la fortaleza cibernética del sistema de demostración de KONE?
"Sí... capturamos la bandera", exclama 'The Mask Guy'. "No fue fácil, pero nuestro equipo encontró una manera de obtener acceso al sistema".
Y con él, el ganador del primer puesto de la competencia Disobey CTF 2023.
Para KONE, la ruta que los hackers encontraron en el sistema proporcionó valiosos conocimientos de ciberseguridad que pueden aprovecharse para el futuro.
"Fue una gran experiencia de aprendizaje para nosotros", señala Salminen, "y la ciberresiliencia de nuestro sistema de supervisión de demostraciones resistió bien... la mayor parte del tiempo".
"Para KONE, las experiencias que compartimos en Disobey ayudaron a desmitificar a la comunidad de hackers 'white hat' y sirven como marco para que colaboremos más estrechamente en el futuro para construir una mejor ciberseguridad en nuestros productos y servicios para nuestros clientes", añade Salminen.